メッセージ追跡
メッセージ追跡ログは、メールがメールボックス サーバーとエッジ トランスポート サーバー上のトランスポート パイプラインを通過する際のすべてのアクティビティの詳細な記録です。 メッセージの追跡は、メッセージ フォレンジクス、メール フロー分析、レポート作成、トラブルシューティングに使用できます。
既定では、Exchange は循環ログを使用して、ファイル サイズとファイルの保存期間に基づいてメッセージ追跡ログを制限し、ログ ファイルで使用されるハード ディスク領域を制御します。 メッセージ追跡ログを構成するには、「メッセージ追跡の 構成」を参照してください。
メッセージ追跡ログを検索する
メッセージ追跡ログには、メールボックス サーバーまたはエッジ トランスポート サーバーを介してメッセージが移動する際に膨大な量のデータが含まれます。 メッセージ追跡ログの検索に関しては、次のオプションがあります。
Get-MessageTrackingLog: 管理者は、この Exchange 管理シェル コマンドレットを使用して、メッセージ追跡ログを検索して、さまざまなフィルター条件を使用してメッセージに関する情報を検索できます。 詳細については、「 メッセージ追跡ログの検索」を参照してください。
管理者向けの配信レポート: 管理者は、Exchange 管理センターの [配信レポート] タブ、または Exchange 管理シェルの基になる Search-MessageTrackingReport コマンドレットと Get-MessageTrackingReport コマンドレットを使用して、メッセージ追跡ログを検索して、organization内の特定のメールボックスによって送受信されたメッセージに関する情報を検索できます。 詳細については、「 管理者向けの配信レポート」を参照してください。
メッセージ追跡ログ ファイルの構造
既定では、メッセージ追跡ログ ファイルは に %ExchangeInstallPath%TransportRoles\Logs\MessageTracking存在します。 フォルダーには異なる名前のログ ファイルが含まれていますが、名前付け規則 MSGTRKServiceyyyyMMdd-nnnn.logに従います。 次の表では、さまざまなログ ファイル名について説明します。
| ファイル名 | サーバー | 説明 |
|---|---|---|
MSGTRK |
メールボックス サーバーとエッジ トランスポート サーバー | トランスポート サービスに関するログ ファイル。 |
MSGTRKMA |
メールボックス サーバー | モデレート トランスポートの承認と却下に関するログ ファイル。 詳細については、「メッセージ承認の管理」を参照してください。 |
MSGTRKMD |
メールボックス サーバー | メールボックス トランスポート配信サービスによってメールボックスに配信されたメッセージのログ ファイル。 |
MSGTRKMS |
メールボックス サーバー | メールボックス トランスポート発信サービスによってメールボックスから送信されたメッセージのログ ファイル。 |
ログ ファイル名の他のプレースホルダーは、次の情報を表します。
yyyyMMdd は、ログ ファイルが作成された協定世界時 (UTC) の日付です。 yyyy = year、 MM = month、 dd = day。
nnnn は、ログごとに毎日値 1 から始まるインスタンス番号です。
情報は、ファイル サイズが最大値に達するまでログ ファイルに書き込まれます。 それから、インスタンス番号を増やした新しいログ ファイルが開かれます (最初のログ ファイルは -1、次のファイルは -2、というように)。 循環ログは、次のいずれかの条件に該当する場合に、サービスの最も古いログ ファイルを削除します。
ログ ファイルが最大保存期間に達している。
メッセージ追跡ログ フォルダーの最大サイズに達します。
注:
メッセージ追跡ログ フォルダーの最大サイズは、同じ名前プレフィックスを持つすべてのログ ファイルの合計サイズとして計算されます。 名前プレフィックス規則に従わない他のファイルは、フォルダー サイズの合計計算にはカウントされません。 古いログ ファイルの名前を変更したり、メッセージ追跡ログ フォルダーに他のファイルをコピーしたりすると、フォルダーが指定した最大サイズを超える可能性があります。
メールボックス サーバーでは、メッセージ追跡ログ フォルダーの最大サイズは、指定した値の 3 倍です。 メッセージ追跡ログ ファイルは、4 つの異なるサービスによって生成され、4 つの異なる名前プレフィックスを持ちますが、モデレートされたトランスポート ログ (
MSGTRKMA) に書き込まれるデータの量と頻度は、他の 3 つのログと比較してごくわずかです。
メッセージ追跡ログ ファイルは、データをコンマ区切り (CSV) 形式で格納するテキスト ファイルです。 個々のメッセージ追跡ログ ファイルには、以下の情報を含むヘッダーがあります。
#Software: 値は です
Microsoft Exchange Server。#Version: メッセージ追跡ログ ファイルを作成した Exchange サーバーのバージョン番号。 値は、 形式
15.01.nnnn.nnnを使用します。#Log-Type: 値は です
Message Tracking Log。#Date: ログ ファイルが作成された UTC 日時。 UTC 日時は ISO 8601 日付時刻形式で表されます。 yyyy-MM-ddThh:mm:ss.fffZ。 ここで、yyyy = year、 MM = month、 dd = day、T は時間成分の先頭を示します 。hh = hour、 mm = minute、 ss = second、 fff = fractions of a second、Z signifies Zulu は UTC を表す別の方法です。
#Fields: メッセージ追跡ログ ファイルで使用されるコンマ区切りのフィールド名。
メッセージ追跡ログ ファイルのフィールド
メッセージ追跡ログでは、個々のメッセージ イベントがログの 1 行として格納されます。 メッセージ イベント情報はフィールドで構成され、各フィールドはコンマで区切られています。 通常、フィールド名はフィールドに含まれる情報の種類を判断できる程度に説明的な名前です。 ただし、場合によってはフィールドが空であったり、メッセージ イベントの種類やイベントが記録されるメッセージ追跡ログ ファイルの種類によってフィールドに格納される情報の種類が変わったりすることがあります。 以下の表に、メッセージ追跡イベントの分類に使用されるフィールドの概要を示します。
| フィールド名 | 説明 |
|---|---|
| date-time | メッセージ追跡イベントの日時です (UTC)。 UTC 日時は ISO 8601 日付時刻形式で表されます。 yyyy-MM-ddThh:mm:ss.fffZ。 ここで、yyyy = year、 MM = month、 dd = day、T は時間成分の先頭を示します 。hh = hour、 mm = minute、 ss = second、 fff = fractions of a second、Z signifies Zulu は UTC を表す別の方法です。 |
| client-ip | メッセージを発信したメッセージング サーバーまたはメッセージング クライアントのアドレスです (IPv4 または IPv6)。 |
| client-hostname | メッセージを発信したメッセージング サーバーまたはメッセージング クライアントのホスト名または FQDN です。 |
| server-ip | 送信元または宛先サーバーの IPv4 または IPv6 アドレス。 |
| server-hostname | 送信先サーバーのホスト名または FQDN です。 |
| source-context |
source フィールドに関連する追加情報です。 以下に例を示します。CatContentConversion 250 2.0.0 OK;ClientSubmitTime:<UTC> |
| connector-id | メッセージを受け入れた送信コネクタまたは受信コネクタの名前。 たとえば、 ServerName\ ConnectorName や ConnectorName などです。 |
| source | イベントを担当する Exchange トランスポート コンポーネント。 これらの値については、このトピックの後半の 「メッセージ追跡ログ」セクションの「ソース値 」で説明します。 |
| event-id | メッセージ イベントの種類です。 これらの値については、このトピックの後半の 「メッセージ追跡ログ」セクションの「イベントの種類 」で説明します。 |
| internal-message-id | 現在メッセージを処理している Exchange サーバーによって割り当てられているメッセージ識別子。 メッセージの内部メッセージ ID は、メッセージの送信に関係するすべての Exchange サーバーのメッセージ追跡ログで異なります。 値の例は です 73014444033。 |
| message-id | メッセージ ヘッダー内の Message-Id: ヘッダー フィールドの値です。
Message-Id: ヘッダー フィールドが存在しない場合、または空白の場合、Exchange は任意の値を割り当てます。 この値は、メッセージの有効期間全体にわたって不変です。 Exchange で作成されたメッセージの場合、値は山かっこ (< >) を含む形式<GUID@ServerFQDN>になります。 たとえば、「 <4867a3d78a50438bad95c0f6d072fca5@mailbox01.contoso.com> 」のように入力します。 他のメッセージング システムは異なる構文や値を使用する可能性があります。 |
| network-message-id | 分岐または配布グループの拡張によって作成される可能性があるメッセージのコピー間で保持される一意のメッセージ ID 値。 値の例は です 1341ac7b13fb42ab4d4408cf7f55890f。 |
| recipient-address | メッセージ受信者の電子メール アドレスです。 複数の電子メール アドレスがある場合は、セミコロン (;) で区切られます。 |
| recipient-status | セミコロン文字 (;)で区切られた各受信者の受信者の状態。 各受信者の状態値の並び順は、 recipient-address フィールドの値と同じです。 状態の値の例を次に示します。To、 Cc または Bcc 250 2.1.5 Recipient OK 550 4.4.7 QUEUE.Expired;<ErrorText> |
| total-bytes | すべての添付ファイルを含む、メッセージの合計サイズ (バイト単位)。 |
| recipient-count | メッセージ内の受信者の合計数。 |
| related-recipient-address | このフィールドは 、EXPAND、 REDIRECT、 RESOLVE イベントと共に使用され、メッセージに関連付けられている他の受信者のメール アドレスを表示します。 |
| reference | このフィールドには、イベントの種類に応じた追加情報が含まれます。 以下に例を示します。 DSN: このイベントの後に DSN が生成された場合、関連付けられた配信状態通知 (DSN、バウンス メッセージ、配信不能レポート、または NDR とも呼ばれます) のメッセージ ID 値であるレポート リンクが含まれます。 これが DSN メッセージの場合、[ 参照 ] フィールドには、DSN が生成された元のメッセージの Message-Id 値が含まれます。 EXPAND: 関連するメッセージの 関連受信者アドレス 値が含まれます。 RECEIVE: メッセージが他のプロセス (ジャーナリングルールや受信トレイルールなど) によって生成された場合、関連するメッセージの Message-Id 値を含む場合があります。 SEND: 任意の DSN メッセージの内部メッセージ ID 値が 含まれます。 THROTTLE: メッセージが調整された理由が含まれます。 TRANSFER: フォークされる メッセージの内部メッセージ ID 値が含まれます。 受信トレイ ルールによって生成されたメッセージ: 受信トレイ ルールが送信メッセージを生成する原因となった受信メッセージの 内部メッセージ ID 値が含まれます。 フォークされたメッセージ: 内部メッセージ ID 値が含まれている可能性があります。 他の種類のイベントの場合、このフィールドは通常空白です。 |
| message-subject | Subject: ヘッダー フィールドにあるメッセージの件名です。 メッセージサブジェクトの追跡は、Set-TransportService コマンドレットの MessageTrackingLogSubjectLoggingEnabled パラメーターによって制御されます。 既定では、メッセージの件名の追跡は有効になっています。 |
| sender-address | [送信者: ヘッダー] フィールドで指定された電子メール アドレス、または [送信者:] フィールドが存在しない場合は [差出人: ヘッダー] フィールド。 |
| return-path | メッセージを送信した MAIL FROM コマンドによって指定された戻りメール・アドレス。 このフィールドは空ではありませんが、null 送信者アドレス値を として <>表すことができます。 |
| message-info | メッセージに関する追加情報です。 以下に例を示します。 DELIVER イベントと SEND イベントのメッセージ配信日時 (UTC)。 発生日時とは、そのメッセージが最初に Exchange 組織に入った日時です。 UTC 日時は ISO 8601 日付時刻形式で表されます。 yyyy-MM-ddThh:mm:ss.fffZ。 ここで、yyyy = year、 MM = month、 dd = day、T は時間成分の先頭を示します 。hh = hour、 mm = minute、 ss = second、 fff = fractions of a second、Z signifies Zulu は UTC を表す別の方法です。 認証エラー。 たとえば、認証エラーが発生したときに使用された認証の値 11a と種類が表示される場合があります。 |
| directionality | メッセージの方向です。 値の例には、、Undefined、および がOriginating含まれますIncoming。 |
| tenant-id | このフィールドは、オンプレミスの Exchange 組織では使用されません。 |
| original-client-ip | 元のクライアントのアドレス (IPv4 または IPv6)。 |
| original-server-ip | 元のサーバーのアドレス (IPv4 または IPv6)。 |
| custom-data | このフィールドには、特定のイベントの種類に関連するデータが含まれています。 たとえば、トランスポート ルール エージェントは、このフィールドを使用して、メッセージに対して動作したメール フロー ルール (トランスポート ルールとも呼ばれます) または DLP ポリシーの GUID を記録します。 詳細については、「 DLP ポリシー検出レポートを表示する」を参照してください。 |
| transport-traffic-type | オンプレミスの Exchange では、このフィールドは空白であるか、 の値 Emailを持ちます。 |
| log-id | メッセージ追跡ログ内の 行の一意識別子。 このフィールドは、オンプレミスの Exchange 組織では重要ではありません。 |
| schema-version | メッセージ追跡ログにエントリを作成した Exchange サーバーのバージョン番号。 値は、 形式 15.01.nnnn.nnnを使用します。 |
メッセージ追跡ログのイベントの種類
メッセージ追跡 ログのメッセージ イベントは、 event-id フィールドのさまざまなイベントの種類によって分類されます。 メッセージ イベントの中には、1 種類のメッセージ追跡ログ ファイルにしか出現しないものもあれば、すべての種類のメッセージ追跡ログ ファイルに出現するものもあります。 各メッセージ イベントの分類に使用されるイベントの種類を次の表に示します。
| イベント名 | 説明 |
|---|---|
| AGENTINFO | このイベントは、トランスポート エージェントがカスタム データを記録するために使用されます。 |
| BADMAIL | ピックアップ ディレクトリまたは再生ディレクトリによって、配信または返却できないメッセージが発信された。 |
| CLIENTSUBMISSION | メールボックスの [送信トレイ] からメッセージが送信されました。 |
| DEFER | メッセージの配信の遅延が発生した。 |
| DELIVER | メッセージがローカル メールボックスに配信された。 |
| DELIVERFAIL | エージェントが、メールボックスに存在しないフォルダーにメッセージを配信しようとしました。 |
| DROP | メッセージは、配信状態通知 (DSN、バウンス メッセージ、配信不能レポート、または NDR とも呼ばれる) なしでドロップされました。 次に例を示します。
|
| DSN | 配信状態通知 (DSN) が生成された。 |
| DUPLICATEDELIVER | 重複するメッセージが受信者に配信された。 重複は、受信者が複数の入れ子になった配布グループのメンバーである場合に発生することがあります。 重複するメッセージはインフォメーション ストアによって検出され、削除されます。 |
| DUPLICATEEXPAND | 配布グループの展開中に、重複する受信者が検出された。 |
| DUPLICATEREDIRECT | メッセージの代理受信者がすでに受信者になっていた。 |
| EXPAND | 配布グループが展開された。 |
| FAIL | メッセージの配信が失敗した。 ソースには、 SMTP 、 DNS 、 QUEUE 、および ROUTING が含まれます。 |
| HADISCARD | プライマリ コピーが次のホップに配信された後、シャドウ メッセージが破棄された。 詳細については、「Exchange Serverのシャドウ冗長性」を参照してください。 |
| HARECEIVE | ローカルのデータベース可用性グループ (DAG) または Active Directory サイトがシャドウ メッセージを受信した。 |
| HAREDIRECT | シャドウ メッセージが作成された。 |
| HAREDIRECTFAIL | シャドウ メッセージの作成に失敗した。 詳細は、 source-context フィールドに格納されます。 |
| INITMESSAGECREATED | モデレート受信者に送信されたメッセージが、承認のために調停メールボックスに送信された。 詳細については、「メッセージ承認の管理」を参照してください。 |
| LOAD | 起動時にメッセージが正常に読み込まれた。 |
| MODERATIONEXPIRE | モデレート受信者のモデレーターがメッセージの承認も拒否もしなかったため、メッセージが期限切れになった。 モデレート受信者の詳細については、「メッセージ承認の管理」を参照してください。 |
| MODERATORAPPROVE | モデレート受信者のモデレーターがメッセージを承認したため、メッセージがモデレート受信者に配信された。 |
| MODERATORREJECT | モデレート受信者のモデレーターがメッセージを拒否したため、メッセージがモデレート受信者に配信されなかった。 |
| MODERATORSALLNDR | モデレートされた受信者のすべてのモデレーターに送信されたすべての承認要求は配信不能であり、配信不能レポート (NDR またはバウンス メッセージとも呼ばれます) が発生しました。 |
| NOTIFYMAPI | ローカル サーバーのメールボックスの送信トレイでメッセージが検出された。 |
| NOTIFYSHADOW | ローカル サーバーのメールボックスの送信トレイでメッセージが検出され、メッセージのシャドウ コピーを作成する必要がある。 |
| POISONMESSAGE | メッセージが有害メッセージ キューに格納されたか、または有害メッセージ キューから削除された。 |
| PROCESS | メッセージが正常に処理された。 |
| PROCESSMEETINGMESSAGE | 会議メッセージは、メールボックス トランスポート配信サービスによって処理されました。 |
| RECEIVE | メッセージは、トランスポート サービスの SMTP 受信コンポーネントまたはピックアップまたは再生ディレクトリ (ソース: SMTP) から受信されたか、メールボックスからメールボックス トランスポート送信サービス (ソース: STOREDRIVER) に送信されました。 |
| REDIRECT | Active Directory 参照の後に、メッセージが代替受信者にリダイレクトされた。 |
| RESOLVE | Active Directory 参照の後に、メッセージの受信者が別の電子メール アドレスに解決された。 |
| RESUBMIT | メッセージがセーフティ ネットから自動的に再送信された。 詳細については、「Exchange Serverのセーフティ ネット」を参照してください。 |
| RESUBMITDEFER | セーフティ ネットからのメッセージの再送信が遅延した。 |
| RESUBMITFAIL | セーフティ ネットからのメッセージの再送信が失敗した。 |
| SEND | トランスポート サービス間でメッセージが SMTP で送信された。 |
| SUBMIT | メールボックス トランスポート発信サービスからトランスポート サービスへのメッセージの送信が成功した。
SUBMIT イベントの場合、 source-context プロパティには以下の詳細情報が格納されます。
|
| SUBMITDEFER | メールボックス トランスポート発信サービスからトランスポート サービスへのメッセージの送信が遅延した。 |
| SUBMITFAIL | メールボックス トランスポート発信サービスからトランスポート サービスへのメッセージの送信が失敗した。 |
| SUPPRESSED | メッセージの送信が止められた。 |
| THROTTLE | メッセージが調整された。 |
| TRANSFER | コンテンツ変換、メッセージの受信者制限、またはエージェントが原因で、フォークされているメッセージに受信者が移動された。 ソースには、 ROUTING または QUEUE が含まれます。 |
メッセージ追跡ログのソースの値
メッセージ追跡ログの source フィールドの値は、そのメッセージ追跡イベントを担当するトランスポート コンポーネントを示します。 次の表は、 source フィールドの値の一覧です。
| source の値 | 説明 |
|---|---|
| ADMIN | イベント ソースは人間の介入でした。 たとえば、管理者はキュー ビューアーを使用してメッセージを削除したり、再生ディレクトリを使用して送信されたメッセージ ファイルを送信したりしました。 |
| AGENT | トランスポート エージェントがイベント ソース。 |
| APPROVAL | モデレート受信者に使用される承認フレームワークがイベント ソース。 詳細については、「メッセージ承認の管理」を参照してください。 |
| BOOTLOADER | イベント ソースは、ブート時にサーバー上に存在する未処理のメッセージでした。 これは、イベントの種類 LOAD と関係しています。 |
| DNS | DNS がイベント ソース。 |
| DSN | イベント ソースは配信状態通知 (DSN、バウンス メッセージ、配信不能レポート、または NDR とも呼ばれます) でした。 |
| GATEWAY | 外部コネクタがイベント ソース。 詳細については、「 外部コネクタ」を参照してください。 |
| MAILBOXRULE | 受信トレイ ルールがイベント ソース。 詳細については、「受信トレイのルール」を参照してください。 |
| MEETINGMESSAGEPROCESSOR | イベント ソースは、会議の更新情報に基づいたカレンダーを更新する会議メッセージのプロセッサでした。 |
| ORAR | 発信者が要求した代理受信者 (ORAR) がイベント ソース。 New-ReceiveConnector コマンドレットまたは Set-ReceiveConnector コマンドレットの OrarEnabled パラメーターを使用して、受信コネクタでの ORAR のサポートを有効または無効にすることができます。 |
| PICKUP | ピックアップ ディレクトリがイベント ソース。 詳細については、「 ピックアップ ディレクトリ」と「再生ディレクトリ」を参照してください。 |
| POISONMESSAGE | 有害メッセージ識別子がイベント ソース。 有害メッセージと有害メッセージ キューの詳細については、「キューとキュー内のメッセージ」を参照してください。 |
| PUBLICFOLDER | メールが有効なパブリック フォルダーがイベント ソース。 |
| QUEUE | キューがイベント ソース。 |
| REDUNDANCY | シャドウ冗長がイベント ソース。 詳細については、「Exchange Serverのシャドウ冗長性」を参照してください。 |
| リゾルバー | イベント ソースは、トランスポート サービスのカテゴライザーの受信者解決コンポーネントでした。 詳細については、「Exchange Serverの受信者の解決」を参照してください。 |
| ROUTING | トランスポート サービスのカテゴライザーのルーティング解決コンポーネントがイベント ソース。 |
| SAFETYNET | セーフティ ネットがイベント ソース。 詳細については、「Exchange Serverのセーフティ ネット」を参照してください。 |
| SMTP | メッセージが、トランスポート サービスの SMTP 送信コンポーネントまたは SMTP 受信コンポーネントによって発信された。 |
| STOREDRIVER | ローカル サーバー上のメールボックスからの MAPI 送信がイベント ソース。 |
メッセージ追跡ログのエントリの例
2 人のユーザー間でメッセージが問題なく送受信された場合、いくつかエントリがメッセージ追跡ログに書き込まれます。 ログを参照するには、 Get-MessageTrackingLog コマンドレットを使用します。 詳細については、「 メッセージ追跡ログの検索」を参照してください。
これは、ユーザーがテスト メッセージをユーザー chris@contoso.com に正常に送信したときに作成されたメッセージ追跡ログ エントリの michelle@contoso.com例です。 どちらのユーザーも、同じサーバー上にメールボックスを持っています。
EventId Source Sender Recipients MessageSubject
------- ------ ------ ---------- --------------
NOTIFYMAPI STOREDRIVER {}
RECEIVE STOREDRIVER chris@contoso.com {michelle@contoso.com} test
SUBMIT STOREDRIVER chris@contoso.com {michelle@contoso.com} test
HAREDIRECT SMTP chris@contoso.com {michelle@contoso.com} test
RECEIVE SMTP chris@contoso.com {michelle@contoso.com} test
AGENTINFO AGENT chris@contoso.com {michelle@contoso.com} test
SEND SMTP chris@contoso.com {michelle@contoso.com} test
DELIVER STOREDRIVER chris@contoso.com {michelle@contoso.com} test
メッセージ追跡ログに関するセキュリティ上の考慮事項
メッセージ追跡ログには、メッセージのコンテンツは格納されません。 既定では、電子メール メッセージの件名がメッセージ追跡ログに格納されます。 セキュリティまたはプライバシーの要件の強化に準拠するために、サブジェクト ログを無効にする必要がある場合があります。 件名のログ記録を無効にする方法については、「 メッセージ追跡の構成」を参照してください。